Más contenido relacionado
La actualidad más candente (20)
Más de The Linux Foundation (20)
XS Japan 2008 App Data Japanese
- 4. 仮想マシンモニタ(VMM)を
利用することが効果的
• VM単位の隔離
アプリケーション アプリケーション
– たとえあるVMが
奪取されても、 OS OS
VMMや他のVMを (ゲスト OS) (ゲスト OS)
奪取することは困難 仮想マシン 仮想マシン
(VM) (VM)
• VMの物理メモリや
ディスクなどの物理計
算資源への操作を制御 仮想マシンモニタ (VMM)
– VMMはVMよりも高い
特権レベルで稼働 ハードウェア
- 6. 本研究のアプローチ
• 制御対象VMの外側からアプリケーションが発行した
システムコールの実行を制御
– アプリケーションプロセス単位で実行を制御
• VMMと制御VMが、アプリケーションに関連する
メモリ・ファイル操作を制御
– メモリ上、仮想ディスク上のアプリケーションに
関連するデータの漏洩・不正改竄の防止
利用者が指定したアプリケーションのみ実行を制御
準仮想化を利用した Xen を用いて提案システムを構築
- 8. セキュリティシステムの運用比較
VMを使わない VMの外側で
場合 稼働させる場合
× ○
セキュリティシステム
容易 困難
への攻撃
○ ×
セキュリティシステム
の制御単位 OSレベル ハードウェアレベル
- 9. システムコールの実行制御の目標
VMを使わない VMの外側で
場合 稼働させる場合
× ○
セキュリティシステム
への攻撃 容易 困難
○ ×
セキュリティシステム
の制御単位 OSレベル ハードウェアレベル
Semantic gap
本研究の目標
- 17. VMMによるメモリ管理
VMMの
制御対象VMの 制御対象VMの
仮想アドレス空間 物理アドレス空間 物理アドレス空間
gPA →
(gVA) (gPA) (hPA)
hPA
アプリケーション
アプリケーション
アプリケーション
gVA → hPA
VMMによるアドレス変換
17
- 18. 本研究におけるメモリ上のデータ保護
(1/2)
• カーネルレベル・ユーザレベルで
異なる物理アドレス領域を見せる
VMMの
制御対象VMの 制御対象VMの
仮想アドレス空間 物理アドレス空間 物理アドレス空間
(gVA) (gPA) (hPA)
アプリケーション
Dummy
アプリケーション
アプリケーション
ユーザレベルでの実行中に参照可能な領域
カーネルレベルでの実行中に参照可能な領域
– Overshadow[Chen et al., 2008]
– [Rosenblum et al.,2008]
- 19. 本研究におけるメモリ上のデータ保護
(2/2)
• 制御対象アプリケーションに関する
カーネルレベル・ユーザレベル間の切り換え
が発生したとき、ページテーブルを切り換える
– 例外・割り込み処理
– システムコール処理
- 20. 本研究におけるディスク上の
データ保護(1/5)
• 異なるVMで制御対象ファイルの実体を管理
– 実行ファイル、設定ファイル、
データベースファイルなど
– 制御対象はセキュリティポリシーで指定
制御VM 制御対象VM
セキュリティ
ポリシー セキュリティシステム アプリケーション
設定ファイル
設定ファイル
実行ファイル
実行ファイル
VMM
- 23. 本研究におけるディスク上の
データ保護(4/5)
read の 制御VM 制御対象VM
エミュレート
メモリ
セキュリティシステム
設定ファイル
アプリケーション
VMM
- 25. まとめ
• VMの外側からアプリケーションを保護する
セキュリティシステムの提案
– アプリケーションの振る舞いの制御
• システムコールの実行制御
– メモリ・ディスク上のデータ保護
• メモリ上のデータ:VMMによる物理メモリ領域の多重化
• ディスク上のデータ:異なるVMで管理